Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-26 22:52:06 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/mobile-pentesting/android-checklist.md

94 lines
6.9 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Android APK Kontrol Listesi
<details>
<summary><strong>AWS hackleme konusunda sıfırdan kahramana kadar öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong></a><strong>!</strong></summary>
* **Bir **cybersecurity şirketinde mi çalışıyorsunuz? **Şirketinizi HackTricks'te** görmek ister misiniz? ya da **PEASS'ın en son sürümüne veya HackTricks'i PDF olarak indirmek** ister misiniz? [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* [**PEASS Ailesi'ni**](https://opensea.io/collection/the-peass-family) keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuzu
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* **Katılın** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) veya **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**'ı takip edin**.
* **Hacking püf noktalarınızı göndererek [hacktricks repo](https://github.com/carlospolop/hacktricks) ve [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)** ile paylaşın.
</details>
**Try Hard Güvenlik Grubu**
<figure><img src="../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
***
### [Android temellerini öğrenin](android-app-pentesting/#2-android-application-fundamentals)
* [ ] [Temeller](android-app-pentesting/#fundamentals-review)
* [ ] [Dalvik & Smali](android-app-pentesting/#dalvik--smali)
* [ ] [Giriş noktaları](android-app-pentesting/#application-entry-points)
* [ ] [Aktiviteler](android-app-pentesting/#launcher-activity)
* [ ] [URL Şemaları](android-app-pentesting/#url-schemes)
* [ ] [İçerik Sağlayıcılar](android-app-pentesting/#services)
* [ ] [Hizmetler](android-app-pentesting/#services-1)
* [ ] [Yayın Alıcıları](android-app-pentesting/#broadcast-receivers)
* [ ] [Amaçlar](android-app-pentesting/#intents)
* [ ] [Amaç Filtresi](android-app-pentesting/#intent-filter)
* [ ] [Diğer bileşenler](android-app-pentesting/#other-app-components)
* [ ] [ADB nasıl kullanılır](android-app-pentesting/#adb-android-debug-bridge)
* [ ] [Smali nasıl değiştirilir](android-app-pentesting/#smali)
### [Statik Analiz](android-app-pentesting/#static-analysis)
* [ ] [Obfuskasyon](android-checklist.md#some-obfuscation-deobfuscation-information) kullanımını kontrol edin, mobilin root edilip edilmediğini, bir emülatörün kullanılıp kullanılmadığını ve anti-tampering kontrollerini kontrol edin. Daha fazla bilgi için [burayı okuyun](android-app-pentesting/#other-checks).
* [ ] Hassas uygulamalar (banka uygulamaları gibi) mobilin root edilip edilmediğini kontrol etmeli ve buna göre hareket etmelidir.
* [ ] [İlginç dizeleri](android-app-pentesting/#looking-for-interesting-info) arayın (şifreler, URL'ler, API'ler, şifreleme, arka kapılar, belirteçler, Bluetooth uuid'leri...).
* [ ] [Firebase ](android-app-pentesting/#firebase)API'lerine özel dikkat.
* [ ] Manifest dosyasını okuyun:
* [ ] Uygulamanın hata ayıklama modunda olup olmadığını kontrol edin ve "sömürmeye" çalışın
* [ ] APK'nin yedeklemelere izin verip vermediğini kontrol edin
* [ ] Dışa aktarılan Aktiviteler
* [ ] İçerik Sağlayıcılar
* [ ]ık hizmetler
* [ ] Yayın Alıcıları
* [ ] URL Şemaları
* [ ] Uygulama içinde veya dışında verilerin güvensiz bir şekilde kaydedilip kaydedilmediğini kontrol edin
* [ ] Herhangi bir şifre sabitlenmiş veya diske kaydedilmiş mi? Uygulama güvensiz şifreleme algoritmaları kullanıyor mu?
* [ ] Tüm kütüphaneler PIE bayrağı kullanılarak derlendi mi?
* [ ] Unutmayın, bu aşamada size çok yardımcı olabilecek birçok [statik Android Analiz Araçları](android-app-pentesting/#automatic-analysis) bulunmaktadır.
### [Dinamik Analiz](android-app-pentesting/#dynamic-analysis)
* [ ] Ortamı hazırlayın ([çevrimiçi](android-app-pentesting/#online-dynamic-analysis), [yerel VM veya fiziksel](android-app-pentesting/#local-dynamic-analysis))
* [ ] [İstenmeyen veri sızıntısı](android-app-pentesting/#unintended-data-leakage) var mı (günlükleme, kopyalama/yapıştırma, çökme günlükleri)?
* [ ] SQLite veritabanlarında kaydedilen [gizli bilgiler](android-app-pentesting/#sqlite-dbs) var mı?
* [ ] Sömürülebilir açık Aktiviteler
* [ ] Sömürülebilir İçerik Sağlayıcılar
* [ ] Sömürülebilir açık Hizmetler
* [ ] Sömürülebilir Yayın Alıcıları
* [ ] Uygulama bilgileri açık metin/ zayıf algoritmalar kullanarak iletir mi? MitM mümkün mü?
* [ ] HTTP/HTTPS trafiğini inceleyin
* [ ] Bu gerçekten önemlidir, çünkü HTTP trafiğini yakalayabilirseniz, yaygın Web zafiyetlerini arayabilirsiniz (Hacktricks'te Web zafiyetleri hakkında çok bilgi bulunmaktadır).
* [ ] Olası [Android İstemci Tarafı Enjeksiyonları](android-app-pentesting/#android-client-side-injections-and-others) için kontrol edin (muhtemelen burada bazı statik kod analizi yardımcı olacaktır)
* [ ] [Frida](android-app-pentesting/#frida): Sadece Frida, uygulamadan ilginç dinamik veriler elde etmek için kullanın (belki bazı şifreler...)
### Bazı obfuscation/Deobfuscation bilgileri
* [ ] [Burayı okuyun](android-app-pentesting/#obfuscating-deobfuscating-code)
**Try Hard Güvenlik Grubu**
<figure><img src="../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
<details>
<summary><strong>AWS hackleme konusunda sıfırdan kahramana kadar öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong></a><strong>!</strong></summary>
* **Bir **cybersecurity şirketinde mi çalışıyorsunuz? **Şirketinizi HackTricks'te** görmek ister misiniz? ya da **PEASS'ın en son sürümüne veya HackTricks'i PDF olarak indirmek** ister misiniz? [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* [**PEASS Ailesi'ni**](https://opensea.io/collection/the-peass-family) keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuzu
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* **Katılın** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) veya **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**'ı takip edin**.
* **Hacking püf noktalarınızı göndererek [hacktricks repo](https://github.com/carlospolop/hacktricks) ve [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)** ile paylaşın.
</details>
Reference in a new issue View git blame Copy permalink